viernes, 3 de junio de 2011

Dudosa política de permisos en Chrome Web Store

El especialista en la industria de móviles David Rogers ha expresado su preocupación por la política de permisos de ciertos juegos de la tienda de aplicaciones para el navegador Google Chrome.

En concreto se analizan los permisos que requiere la instalación de una aplicación para un juego flash (Super Mario 2). El juego declara que necesita los permisos de acceso a datos en todos los sitios web, el historial de navegación del usuario y el acceso a los marcadores personales.

¿Para qué necesita un simple juego, que no aporta ninguna funcionalidad adicional, estos datos tan personales? A continuación vamos a ver dos de estos permisos según aparecen explicados en la página de la tienda de Google.

* Acceso a datos en todos los sitios web: implica que la aplicación puede leer todos los sitios a los que accede el usuario, desde su Facebook o webmail hasta la página del banco. A todo esto, Google alerta de que hay que pensar que la aplicación posee la libertad de utilizar las cookies para hacer peticiones a dichos sitios. Parece ser que esta funcionalidad es bastante utilizada (según Google) con el objetivo de monitorizar estas páginas al estilo de un feed RSS.

* Acceso a los marcadores: No sólo implica que la aplicación pueda ver los marcadores que se tienen instalados en Chrome, sino que puede añadir nuevos y modificar los ya existentes.

* Acceso al historial de navegación. Que no necesita explicación.

Aunque se avise al usuario de qué permisos requerirá el juego o programa en Chrome y deba aprobarlo explícitamente, uno de los problemas más graves es que es el programador el que decide qué opciones tendrá su programa sin que Google revise las aplicaciones a no ser que haya alguna queja por parte de los usuarios. Las únicas aplicaciones revisadas antes de su publicación, serán aquellas que requieran el permiso más potente: acceso a los datos del ordenador (esto es, si utiliza el plug-in NPAPI).

David Rogers propone un método alternativo para la gestión de los permisos en Chome que funcionaría como un firewall con unas políticas que podrían venir ya predefinidas o ser gestionadas por los propios usuarios en caso de querer un control más personalizado.


Javier Rascón
jrascon@hispasec.com


Más información:

Chrome app security model is broken
http://blog.mobilephonesecurity.org/2011/05/chrome-app-security-model-is-broken.html

Permissions requested by apps, extensions, and themes
http://www.google.com/support/chrome_webstore/bin/answer.py?hl=en&answer=186213&rd=1

No hay comentarios:

Publicar un comentario en la entrada